IE7地址顯示缺陷 黑客借此隱藏其攻擊意圖

　　據(jù)外電報(bào)道，本周三，安全廠商Secunia 表示，IE 7允許一個(gè)網(wǎng)站顯示包含有虛假Web 地址的彈出式窗口。Secunia 在一份安全公告中表示，黑客可以利用這一缺陷誘騙人們相信他們?cè)谠L問(wèn)一個(gè)可靠的網(wǎng)站，而實(shí)際上他們?cè)谠L問(wèn)一個(gè)惡意網(wǎng)頁(yè)。微軟公司此次推出的IE 7瀏覽器，聲稱(chēng)對(duì)以前的版本進(jìn)行了徹頭徹尾的修改，尤其是在用戶(hù)界面和系統(tǒng)安全上，它的一個(gè)賣(mài)點(diǎn)就是打擊釣魚(yú)式欺詐攻擊。

　　Secunia 開(kāi)發(fā)了一個(gè)演示攻擊，在彈出式窗口的地址欄中顯示的是微軟的Web 地址，但顯示的卻是來(lái)自Secunia 的內(nèi)容。

　　微軟的一名代表在一份電子郵件聲明中說(shuō)，問(wèn)題在于IE 7地址欄顯示W(wǎng)eb 地址的方式。這名代表表示，黑客可以通過(guò)誘騙用戶(hù)點(diǎn)擊一個(gè)特殊格式的鏈接來(lái)利用這一缺陷。

　　微軟表示，彈出式窗口不顯示完整的Web 地址。它說(shuō)，在瀏覽器窗口內(nèi)或地址欄上點(diǎn)擊鼠標(biāo)，或滾動(dòng)窗口，就會(huì)顯示完整的URL。

　　如果一個(gè)網(wǎng)站被認(rèn)為是釣魚(yú)式欺詐攻擊的一部分，攻擊的陰謀就不會(huì)得逞。IE 7的反釣魚(yú)技術(shù)會(huì)識(shí)別出這樣的站點(diǎn)，并向用戶(hù)報(bào)警。微軟稱(chēng)，它沒(méi)有接到利用該缺陷發(fā)動(dòng)攻擊的報(bào)告。

　　IE 7是5 年來(lái)微軟首次對(duì)IE進(jìn)行重大升級(jí)，而安全是它的第一號(hào)任務(wù)。打擊釣魚(yú)式欺詐攻擊一直是微軟的一個(gè)重點(diǎn)。

　　這一缺陷被Secunia 認(rèn)為“不太危急”，但卻是IE 7中被公開(kāi)披露的第一個(gè)缺陷。微軟表示，它已經(jīng)在調(diào)查這一問(wèn)題，可能會(huì)發(fā)布補(bǔ)丁軟件修正該缺陷。